首先,用于诊断VPN路由器的用户账号可能被用来获得公司VPN网络的接入权;在另一个潜在漏洞中,未经授权的远程用户可以通过Web接口获得VPN路由器的管理员权限;第三个漏洞则可能导致用户VPN口令的破解。多个型号的VPN路由器产品(包括1000、2000、4000和5000系列)都将受到影响。目前,北电已经发布了补丁软件对漏洞进行修补,并对发现这些漏洞的德国DeTack GmbH研究公司表示肯定。
其中关于用户账号的问题,是由DeTack GmbH公司一位安全研究员最先发现的。在北电的VPN路由器中,有两个默认的用户账号(FIPSecryptedtest1219和FIPSunecryptedtest1219)存储在路由器各种隧道类型的默认LDAP(轻量级目录访问协议)模板中,这些账号将使得攻击者获取对专用网络的非授权访问。北电在公告中说:“对于一个专用网络来说,这些账号可能带来潜在的后门危险,并且这种危险存在于任意一台VPN路由器设备中。”对于企业的管理员来说,应当注意检查系统日志和安全日志,以确定是否有名为FIPSecryptedtest1219和FIPSunecryptedtest1219的活动被记录下来。
VPN路由器上基于Web的管理接口同样可能被非法用户利用——通过精心创建路由器Web地址的URL,攻击者可以未经授权地访问一些Web管理界面,控制相应的设备。北电表示,这个漏洞对于某些路由器配置的设置来说,可能存在访问受限的情况。北电同时还警告了DES密钥的问题,其VPN路由器使用相同的DES密钥加密用户口令。如果攻击者能够访问LDAP存储的话,就可以对用户口令执行暴力破解攻击。
北电在公告中还称,将VPN路由器软件版本升级到6_05.140、5_05.304或5_05.149可以修补这三个漏洞。升级版软件将保护用户账号的正常诊断,消除Web管理的漏洞,同时增加了可选的3DES加密算法。这些软件升级可以从北电的官方网站上获得。还有一种临时解决的方法,就是在路由器的LDAP和LDAP模板中手动删除默认的用户帐号,并设置强口令和口令过期策略。